La semaine dernière, l'alerte rouge a été sonnée en raison d'une vulnérabilité critique découverte dans Java et activement exploitée avec une intégration dans des kits d'exploits.
L'US-CERT a publié une note de vulnérabilité. Elle a été relayée par le CERTA pour la France : " une vulnérabilité a été découverte dans Oracle Java. Elle permet une exécution de code arbitraire à distance au moyen d'une page Web spécialement conçue. "
Les versions affectées sont Java 7 Update 10 et 9, ainsi que potentiellement toutes les versions antérieures de Java 7. Pour faire face à l'exploitation active, il a été conseillé de désactiver le plugin Java pour les navigateurs Web.
À noter que pour Firefox, Mozilla a eu recours à son mécanisme de click-to-play afin de bloquer le plugin Java. Ainsi, le recours au plugin vulnérable est assujetti à un clic préalable de l'utilisateur sur une icône et un message d'avertissement : " ce plugin possède des failles de sécurité. Cliquer ici pour activer le plugin Java Platform 7 Update 10. "
En urgence, Oracle propose une mise à jour ( Update 11 ) afin de combler la vulnérabilité. La mise à jour est disponible sur le site d'Oracle ou peut être téléchargée depuis le panneau de contrôle de Java.
Oracle précise en outre que le niveau de sécurité par défaut pour les applets Java et les applications Web Start a été relevé de Moyen à Haut. " Avec le paramétrage Haut, l'utilisateur est toujours alerté avant l'exécution d'une quelconque application non signée afin d'empêcher une exploitation silencieuse. "
La bonne nouvelle est donc qu'Oracle a réagi rapidement et n'a pas hésité à procéder à une mise à jour en urgence. De plus en plus d'experts en sécurité informatique conseillent néanmoins d'activer Java que lorsque cela est réellement nécessaire et sinon de s'en passer.
Il est possible de vérifier l'installation de Java en se rendant sur cette page et le cas échéant télécharger la version la plus à jour.
